📚 Apple QuickTime bis 7.7.8 Pufferüberlauf [CVE-2015-7085]
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80119
Betroffen: Apple QuickTime bis 7.7.8
Veröffentlicht: 09.01.2016
Risiko: kritisch
Erstellt: 10.01.2016
Aktualisiert: 11.01.2016
Eintrag: 66.8% komplett
Beschreibung
In Apple QuickTime bis 7.7.8 wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es eine unbekannte Funktion. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Apple QuickTime before 7.7.9 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption and application crash) via a crafted movie file, a different vulnerability than CVE-2015-7086, CVE-2015-7087, CVE-2015-7088, CVE-2015-7089, CVE-2015-7090, CVE-2015-7091, CVE-2015-7092, and CVE-2015-7117.
Die Schwachstelle wurde am 09.01.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2015-7085 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 7.7.9 vermag dieses Problem zu lösen.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:apple:quicktime:7.7.0
- cpe:/a:apple:quicktime:7.7.1
- cpe:/a:apple:quicktime:7.7.2
- cpe:/a:apple:quicktime:7.7.3
- cpe:/a:apple:quicktime:7.7.4
- cpe:/a:apple:quicktime:7.7.5
- cpe:/a:apple:quicktime:7.7.6
- cpe:/a:apple:quicktime:7.7.7
- cpe:/a:apple:quicktime:7.7.8
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $10k-$25k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: QuickTime 7.7.9
Timeline
09.01.2016 | Advisory veröffentlicht
10.01.2016 | VulDB Eintrag erstellt
11.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7085 (mitre.org) (nvd.nist.org) (cvedetails.com)
...